eldiario.es

9
Menú

Hoja de Router Hoja de Router

Anatomía del 'phishing': así clonan la web de Hacienda o de tu banco para robarte

Contenidos copiados, dominios de marcas registradas o información de contacto con teléfonos y cuentas de Skype son algunas de las fórmulas que utilizan los ciberdelincuentes para suplantar a empresas o entidades financieras y engañar a sus víctimas. Saber cómo actúan puede servir para evitar caer en estas estafas con las que te pueden robar tus datos personales o los números de tarjetas de crédito.

- PUBLICIDAD -
El 91% de los ataques phishing comienza en el correo electrónico

El 91% de los ataques phishing comienza en el correo electrónico

El miedo a sufrir un ciberataque hace que nos andemos cada vez más con pies de plomo cuando navegamos por la Red. Sin embargo, a la vez que nosotros extremamos precauciones, los ciberdelincuentes también perfeccionan sus técnicas para conseguir engañarnos.

La última institución española que ha advertido de un posible caso de phishing(o suplantación de identidad) ha sido la Agencia Tributaria. Según denuncia en su web, con motivo de la nueva campaña de la declaración de la renta que arranca el próximo 4 de abril, un año más se han detectado varios correos electrónicos y SMS fraudulentos que simulan la identidad e imagen del organismo público.

En ellos se hace referencia a falsos reembolsos de impuestos para los que el usuario, si quiere recibirlos, tendrá que acceder a una web maliciosa y rellenar un formulario con sus datos de cuentas bancarias y tarjetas de crédito. Además, se invita a descargar una supuesta nueva aplicación que, bajo el nombre de TAPE, no es más que un dañino  malware. “Según los casos detectados, se encarga de cifrar archivos del equipo y exigir un pago para liberarlos o bien instala un troyano capaz de robar credenciales personales e información sensible”, advierten desde la entidad.

Para no dejarse engañar, la AEAT aconseja  desconfiar de cualquier petición de información que no provenga directamente del dominio de su página web o de su sede electrónica. Sin embargo, detectar los fraudes puede resultar complicado en muchos casos dada la destreza de los ciberdelincuentes.

Qué es el phishing: definición y significado

Como ya hemos comentado, el phishing consiste, a grandes rasgos, en suplantar la identidad de una empresa o entidad, por lo que lo primordial para estos atacantes es elegir una marca en la que los usuarios confíen y copiarla lo mejor posible. Grandes empresas, bancos o instituciones públicas son los más suplantados.

El 91% de estos ataques comienzan con un simple correo electrónico. Tu banco solicita tus datos para mantener activa la cuenta o una marca de referencia te pide rellenar una sencilla encuesta: reclamos simples en los que cualquiera pudiera caer. El email puede contener textos originales, imágenes oficiales y enlaces que, en un principio, nos pueden parecer confiables.

Lo mismo ocurre con las webs a las que nos dirigen: el formato y los contenidos son idénticos. Para ello, los atacantes practican la ciberocupación, que consiste en hacerse con dominios de marcas que pertenecen a terceros. En los casos más llamativos, sin embargo, al tratarse de empresas o entidades reconocidas, lo que se buscan son dominios con ligeras variaciones que no levanten sospechas entre los usuarios: desde añadir al nombre de registro el objeto de la actividad (banco, tienda, shop…) hasta referencias geográfica que incluso vayan separadas por guión (-madrid, -es…)

Estos ciberdelincuentes utilizan dominios de marcas registradas para crear confusión a los usuarios

Estos ciberdelincuentes utilizan dominios de marcas registradas para crear confusión a los usuarios

Para copiar la información,  estos ciberdelincuentes utilizan fórmulas automatizadas para que nada se les escape. Algunas de las herramientas más usadas son las conocidas como scrapers, muy usados para rastrear e integrar contenidos de páginas de terceros en sus webs copiadas. Además, en estas suplantaciones, es común ver formularios de registro que dicen recompensar de algún modo al usuario o enlaces a noticias o promociones llamativas. Los más avanzados incluso permiten que los internautas se registren y vean un falso perfil para no levantar sospechas. Incluso los hay que facilitan números de teléfono de contacto o invitan a la víctima a que se conecte por Skype para redondear el timo.

Todos estos mecanismos pueden darse a la vez o por separado. Así, puedes encontrar desde sitios totalmente clonados hasta aquellos que solo copian los contenidos y el logotipo o utilizan un nombre diferente.

Ejemplos de phishing

De la misma manera que las webs maliciosas pueden adoptar formas diversas y combinables para engañar, las tácticas en torno a la suplantación también son variadas. Entra las primeros que surgieron están las estafas de pago adelantado, que consisten en pagar una pequeña cantidad de dinero a cambio de un beneficio que nunca llega. Un clásico que llegó a los correos de  spam procedente de las cartas: en el siglo XIX, varios timadores utilizaban  la estafa del prisionero español para sacar dinero a extranjeros movidos por la compasión.

Hoy en día, el principal reclamo es ofrecer un buen retorno de la inversión, aunque también se aprovechan de la buena fe de los usuarios. Por ejemplo, invitándoles a abrir una cuenta en un banco (falso) previo ingreso de un depósito o alertándoles de que no han pagado alguna (supuesta) factura.

No solo pueden robarte tus datos del banco, también puede hacerse pasar por ti en tus comunicaciones online

No solo pueden robarte tus datos del banco, también suplantarte en tus comunicaciones online

Otro método son los formularios de registro para vendedores online. Una de estas webs maliciosas puede ofrecerles sus servicios para, por ejemplo, abrir mercado en un nuevo país y llevarles a rellenar un formulario y efectuar un pago atraídos por la oportunidad. Estos mismos formularios pueden servir a los ciberdelincuentes para almacenar datos sobre identidades y luego suplantarlas para seguir haciendo de las suyas.

Otro de los sectores con un alto índice de estafas son las ofertas de trabajo. Así, los usuarios pueden encontrarse con oportunidades laborales de grandes empresas que incluso contactan con ellos a través de un dominio ciberocupado.

Cómo protegerse del phishing

La mejor forma de evitar ser estafado es no responder jamás a una solicitud de información personal a través del correo electrónico, llamada de teléfono o SMS. Las empresas e instituciones nunca deberían solicitar (y no suelen hacerlo) contraseñas, números de tarjeta de crédito o cualquier información personal por estos medios. Si recibes una petición así, lo más probable es que se trate de un suplantador.

También se recomienda evitar el acceso a cualquier web a través de un enlace, en especial si lo hemos recibido por alguna de las vías antedichas. Mucho mejor introducir la URL directamente en la barra de direcciones del navegador o, al menos, buscar la web en Google y entrar desde su página de resultados.

En la mayoría de los casos, tu mejor aliado es el sentido común. No hay que navegar con miedo, ya que los bancos, plataformas de comercio electrónico y demás páginas que tienen acceso a nuestro dinero tienen certificados de seguridad que garantizan el uso de cifrado. Para evitar disgustos, intenta navegar únicamente por webs seguras cuya dirección empiece por "https://".

Si ya es demasiado tarde, lo mejor que puedes hacer cuando has sido estafado es recopilar toda la información posible (capturas de pantalla, enlaces, direcciones de correo, mensajes…) y presentar una denuncia. En la web de la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad podrás encontrar  información al detalle y actualizada sobre cómo y dónde hacerlo. 

------------

Las imágenes son propiedad, según orden de aparición, de  Pixabay Christiaan Colen/Flickr y  Pexels.

- PUBLICIDAD -

Comentar

Enviar comentario

Comentar

Comentarios

Ordenar por: Relevancia | Fecha